نحوه راه‌اندازی پروتکل SSL TLS جهت برقراری ارتباط ایمن (HTTPS)

1 مقدمه: اهمیت رمزنگاری و ارتباط ایمن
با توجه به گسترده شدن استفاده از خدمات الکترونیک در سازمان‌ها و استفاده از شبکه‌ اینترنت برای مبادله اطلاعات، نیاز است تا تمهیداتی برای امنیت داده های مبادله شده در ایترنت صورت پذیرد. برای تامین محرمانگی و جامعیت داده‌های مباده شده می توان از پروتکل‌های استانداردی که بدین منظور طراحی شده استفاده کرد. در حال حاضر مهم‌ترین پروتکل رمزنگاری که در سطح اینترنت برای رمزنگاری داده‌های لایه کاربرد و تأمین امنیت ارتباطات استفاده می‌شود، پروتکل SSL/TLS است که در وب با نام HTTPS نیز نامیده می‌شود. در این مستند فنی مراحل کلی و جزئیات راه‌اندازی سرویس HTTPS بیان می‌شود.

 2 مراحل راه اندازی سرویس SSL/TLS بر روی سرویس‌دهنده وب
1-2 انتخاب یک مراکز صدورگواهی بین المللی و رابط/نماینده آن در ایران
شما برای راه‌اندازی سرویس HTTPS نیاز به یک گواهی امنیتی (Security Certificate) دارید که می‌بایست توسط یکی از مراکز بین‌المللی صدور گواهی (CA یا Certfiicate Authrotity) صادر شده باشد. البته این گواهی را خود شما نیز می‌توانید ایجاد کنید ولی در این صورت یک گواهی خودامضا (Self-Signed) خواهید داشت که مرورگرها هنگام مواجهه با آن خطا می‌دهند. از آنجایی که گواهی‌های خودامضا توسط مهاجمین نیز قابل ایجاد و سواستفاده هستند، بهتر است برای امنیت بالاتر حتماً گواهی را از یک مرکز صدور گواهی معتبر دریافت کنید. بدین منظور ابتدا یکی از نمایندگان این شرکت‌ها در ایران را بیابید، و از جزئیات فنی و هزینه‌های آن آگاه شوید.
در صورتی که سایت شما دارای دامنه‌ای با پسوند .com/.net/.org یا سایر دامنه‌هایی به جز .ir می‌باشد، اغلب مراکز صدورگواهی، مشکلی با صدور گواهی برای دامنه شما ندارند. اما برای دامنه‌های .ir تنها تعداد معدودی از مراکز بین‌المللی گواهی صادر می‌کنند. برای خرید گواهی دیجیتال از این مراکز بین­المللی، باید از شرکت­های واسط که بدین منظور در ایران فعالیت می­کنند اقدام به خرید گواهی کرد. برخی از مراکز بین­المللی صدور گواهی دیجیتال که دامنه .ir را پشتیبانی می­کنند در جدول زیر آمده است:
 

مرکز گواهی Let’s Encrypt، به صورت رایگان گواهی صادر می‌کند. اما با توجه به معماری مورد استفاده در آن، برای استفاده در مراکز دولتی به هیچ وجه توصیه نمی‌شود.

2-2 انتخاب نوع گواهی مورد نظر
در این مرحله باید با توجه به شرایط سازمان و نیازمندی‌ها، نوع گواهی امنیتی مد نظر خود را انتخاب نمایید. انواع مختلفی از گواهی­نامه ­های SSL بر اساس تعداد دامنه و زیر دامنه ­های قابل پوشش به شرح زیر است:

• Single- تنها یک دامنه یا زیردامنه را در بر می­گیرد.
• Wildcard- یک دامنه و تعداد نامحدود از زیردامنه­های آن را پوشش می‌دهد.
• Multi-Domain- چندین دامنه را پوشش می‌دهد.

نکات

• در صورتی که می‌خواهید تنها یک زیردامنه خاص را مجهز به سرویس SSL نمایید، از گواهی‌های Single استفاده نمایید که هزینه کمتری دارد.
• در صورتی که سازمان شما چندین زیردامنه دارد که می‌خواهید سرویس SSL را برای همه آنها فعال کنید، می‌توانید از یک گواهی Wildcard استفاده کنید. در این حالت کلیدهای رمزنگاری یکسانی در تمامی سرویس‌دهنده‌های شما مورد استفاده قرار خواهد گرفت.
• برای شرایطی که امنیت بالاتری مد نظر است و قصد به اشتراک گذاری کلید خصوصی بین سرویس‌دهنده‌های مختلف را ندارد، می‌توانید در کنار گواهینامه Wildcard، برای برخی از زیردامنه‌ها گواهی مجزا از نوع single تهیه نمایید.

سطح اعتبار گواهی‌ها نیز متفاوت بوده و شامل موارد زیر است:

• Domain Validation (DV)- این سطح حداقل هزینه را دارد و اعتبارسنجی‌های پایه را پوشش می‌دهد. در این حالت صدورگواهی بر این مبنا صورت می‌گیرد که مرکزصدور گواهی اطمینان حاصل می‌کند که کلیدعمومی موجود در گواهی، توسط مالک دامنه ساخته شده است (ولذا کلید خصوصی آن تنها در اختیار مالک دامنه است و نه فرد دیگری). گرفتن این گواهی ممکن است چند دقیقه تا چند ساعت طول بکشد.
• Organization Validation (OV)- علاوه بر اعتبارسنجی‌ مربوط به مالکیت دامنه، جزئیات خاصی از مالک (مثل نام و آدرس) هم تصدیق اصالت می‌شود. گرفتن این گواهی ممکن است چند ساعت الی چند روز طور بکشد.
• Extended Validation (EV)- این مورد بالاترین درجه از امنیت را فراهم می­آورد زیرا قبل از صدور این گواهی، بررسی­های کاملی روی آن انجام شده است و مورد تایید است. گرفتن این گواهی معمولا بین چند روز الی چند هفته طول می­کشد.